CAA 체크 실패 이해 및 해결 방법

살펴보기

CAA 검사 실패란 무엇입니까?

• 거부: 인증서 발급을 제한하는 명시적 CAA 레코드와 관련된 실패입니다.
• DNSSEC: DNSSEC 구성 및 응답으로 인해 발생하는 문제입니다.
• 보안: XSS와 같은 잠재적인 보안 취약점으로 인한 실패.

CAA 검사 실패 이유

테스트 거부

1. 빈 이슈 태그: empty.basic.domainname.com – CAA 레코드가 0 문제 ";"이면 실패하며, 이는 CA가 허용되지 않음을 나타냅니다.
2. 명확한 거부: CAA 레코드가 issue 또는 issuewild에 대한 발급을 명시적으로 허용하지 않는 경우 발생합니다. CAA 레코드가 있는 경우 issue "ssl.com" 또는 issuewild "ssl.com"을 포함해야 합니다.
3. 이슈 태그의 대소문자 구분: 대문자(uppercase-deny.basic.domainname.com) 또는 대소문자를 혼합(mixedcase-deny.basic.domainname.com)한 문제 태그는 실패로 이어집니다.
4. 대규모 레코드 세트: big.basic.domainname.com – CAA 레코드 수가 너무 많으면 실패합니다(예: 1001).
5. 알려지지 않은 중요한 속성: critical1.basic.domainname.com 및 critical2.basic.domainname.com – 중요한 것으로 표시된 인식할 수 없는 속성이 있는 경우 실패합니다.
6. 나무 오르기: 부모(sub1.deny.basic.domainname.com) 또는 조부모(sub2.sub1.deny.basic.domainname.com) 수준의 CAA 레코드가 발급을 제한하는 경우 실패합니다.
7. CNAME 체인: cname-deny.basic.domainname.com, cname-cname-deny.basic.domainname.com 및 sub1.cname-deny.basic.domainname.com과 같은 CNAME 체인의 CNAME 대상에 CAA 제한이 있는 경우 실패합니다. CNAME이 있는 CAA 레코드의 현재 동작은 인증서를 요청하는 경우입니다.  a.도메인.com 그리고 그것은 cname 레코드입니다 하위.하위.다른 도메인.com 그러면 CAA 검사는 루트 도메인까지 검사합니다. 또 다른 도메인.com CAA 기록을 위해.
8. 관대한 부모에 대한 거부: deny.permit.basic.domainname.com – 부모가 발급을 허용하더라도 자식이 제한되면 실패합니다.
9. IPv6 전용 서버: ipv6only.domainname.com – CAA 레코드가 IPv6를 통해서만 접근 가능하고 CA가 이를 처리할 수 없는 경우 실패합니다.

DNSSEC 실패

1. 만료된 DNSSEC 서명: expired.domainname-dnssec.com – DNSSEC 서명이 만료되면 실패합니다.
2. DNSSEC 서명이 누락되었습니다: missing.domainname-dnssec.com – DNSSEC 서명이 없으면 실패합니다.
3. 응답하지 않는 DNS 서버: blackhole.domainname-dnssec.com – DNSSEC 검증 체인이 응답하지 않는 서버로 이어지는 경우 실패합니다.
4. SERVFAIL 응답: servfail.domainname-dnssec.com – DNS 서버가 SERVFAIL로 응답하면 실패합니다.
5. 거부 응답: denied.domainname-dnssec.com – DNS 서버가 REFUSED로 응답하면 실패합니다.

보안 검사

1. XSS 취약점: xss.domainname.com – 문제 속성에 HTML이나 JavaScript가 포함되어 있으면 XSS 취약점을 테스트하는 데 실패합니다.

특수 및 정보 테스트

CAA 검사 실패를 해결하는 방법

1. CAA 기록 검토: CAA 레코드가 인증 기관을 발급자로 명시적으로 허용하는지 확인하세요.  
   1. 도메인에 대해 "ssl.com"을 발급합니다. 
   2. 와일드카드 인증서의 경우 issuewild “ssl.com”
2. dig 명령을 사용하세요: DNS 이름 서버와 상호 작용하는 데 사용되는 다재다능한 네트워킹 도구입니다. DNS 쿼리를 수행하고 쿼리하는 서버의 응답을 표시하므로 DNS와 관련된 문제를 진단하고 해결하는 데 매우 귀중한 도구입니다. 예: dig @1.1.1.1 domain.com CAA. 표시되어야 합니다. 상태: NOERROR
   1. 하위 도메인에 dig ​​명령 사용: sub2.sub1.example.com과 같은 하위 도메인에 대한 CAA 검사 실패를 해결하려면 다음을 사용하십시오. 파다 명령은 다음을 보장합니다. 파다 CAA 명령은 반환해야 합니다. NX도메인 or 오류 없음 CAA 레코드가 없는 경우, 이는 도메인 계층의 각 레벨에 대해 검증해야 합니다. 전체 도메인 이름(FQDN) sub2.sub1.example.com에서 시작하여 sub1.example.com으로 이동한 다음 마지막으로 최상위 도메인 example.com에서 검증 프로세스는 CAA 레코드를 찾을 때까지 최상위 도메인까지 계속 진행됩니다.
      
      참고: CNAME이 있는 CAA 레코드의 현재 동작은 인증서를 요청하는 경우입니다.  a.도메인.com 그리고 그것은 cname 레코드입니다 하위.하위.다른 도메인.com 그러면 CAA 검사는 루트 도메인까지 검사합니다. 또 다른 도메인.com CAA 기록을 위해.
3. Oracle을 사용하세요 델브 도구: 탐구 DNSSEC를 사용하여 DNS 쿼리의 문제를 해결하고 응답을 검증하도록 설계되었으며, 검증 및 전달을 위해 구성된 DNS 서버의 동작을 모방합니다. DNSKEY 및 DS 레코드를 포함하여 지정된 서버로 쿼리를 보내 반복적 해결을 수행하지 않고 신뢰 체인을 설정합니다. 이 도구는 로깅 리졸버 페치(+[no]rtrace), 응답 세부 사항 (+[no]mtrace), 및 검증 프로세스(+[no]vtrace).
4. DNSSEC 설정 확인: 다음과 같은 도구 DNS비즈 or Verisign DNSSEC 분석기 DNSSEC 설정의 유효성을 검사하는 데 도움이 될 수 있습니다.
5. DNS 공급자에게 문의하세요: DNSSEC 관련 오류의 경우, DNS 공급자가 DNSSEC 서명 또는 구성 문제를 해결하는 데 도움을 줄 수 있습니다.

추가 참조 

관련 SSL.com 가이드

• 인증 기관 인증 (CAA) 소개
• SSL.com SSL /에 대한 요구 사항은 무엇입니까?TLS 인증서 도메인 검증?
• 도메인 유효성 검사(DV)에 사용되는 "고유 값"은 무엇입니까?
• 도메인 이름 SSL /TLS 사전 검증